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Introduction 


Vos fournisseurs et autres partenaires métier mettent-ils votre 
entreprise en danger ? 


Dans quelle mesure les tierces parties avec lesquelles vous 
travaillez se conforment-elles aux normes, réglementations et 
politiques internes en termes de sécurité de l'information ? 
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A l'ère de l'interconnexité de la chaîne d'approvisionnement, une grande entreprise peut travailler avec 
des centaines de tiers ayant acces a ses sites physiques et a ses réseaux informatiques. 


l'infrastructure IT de votre entreprise est certainement fiable, mais vos partenaires et fournisseurs 
peuvent la rendre vulnérable aux failles. Avec, comme souvent, des vols de données métier, des 
dommages à la réputation et de lourdes amendes à la clé. 


Vous devez donc lancer des audits pour évaluer les risques liés à ces fournisseurs, consultants, sous- 
traitants et autres partenaires. 


En outre, ces mêmes audits doivent être menés en interne pour vérifier si vos collaborateurs et vos 
différents services se conforment aux politiques et aux procédures de l'entreprise ainsi qu'aux règles 
et réglementations externes. 


Ces évaluations destinées à contrôler les processus métier sont réalisées via des enquêtes qui 
analysent différents aspects d'une entreprise, notamment ses plans de continuité de l’activité, ses 
outils et pratiques de sécurité physique et environnementale, ses protections contre les risques 
opérationnels ainsi que ses procédures en termes de ressources humaines. 


Cependant, la traditionnelle approche qui consiste à envoyer des questionnaires par messagerie 
électronique et a pointer les réponses dans un tableur pour mener ces enquêtes et évaluer les risques 
n'est plus adaptée. 


Vous devez automatiser ces questionnaires pour garantir la souplesse, la précision, l'exhaustivité, la 
centralisation, l'évolutivité et l'homogénéité du processus à travers toute l'entreprise. 


Cas d'utilisation du service SAQ 


Voici six scénarios pour lesquels vous 
avez besoin d'une solution dans le 
Cloud et automatisée qui évaluera 
les risques associés aux tiers et à vos 
employés : 


Processus en silo et fragmenté 
Processus manuel inefficace 


Évaluations internes lourdes 


Contraintes élevées pour la 
formation des employés 


Réglementation toujours plus 
contraignante 


Panorama des fournisseurs qui 
évolue vite 


Scénario #1 


Scénario 41 


ABSENCE DE PROCESSUS STANDARD 
POUR EVALUER LES TIERCES PARTIES 


Cas d'utilisation du service SAQ 


Nombreuses sont les entreprises, en particulier 
celles ayant plusieurs sites a travers le monde, 
qui ne disposent pas d'une solution centralisée 
et homogène pour analyser en détail les tierces 
parties avec lesquelles elles travaillent. 


Cette tâche est souvent confiée à différents 
groupes de l'entreprise (services, entités où 
divisions) qui ont tous des approches, des 
politiques et des procédures hétérogènes. 


ll en résulte un processus d'audit des tiers a la 

fois fragmenté, incohérent et inefficace réalisé 

de différentes manières et sans s'appuyer sur les 
meilleures pratiques où exigences de base définies où 
suivies pour mener à bien ces évaluations. 


A l'arrivée, l'entreprise n'a pas une vision claire 
des risques engendrés par des tiers et reste donc 
vulnérable aux failles de sécurité. 


Avec un logiciel dans le Cloud qui automatise les 
audits des risques liés aux tierces parties, chaque 
employé chargé de ces évaluations utilisera le 


même outil administré de manière centralisée 
et riche en fonctionnalités pour rationaliser les 
exigences de l'audit et les meilleures pratiques 
pour tous les utilisateurs. 


Ceci garantira l'homogénéité requise à l'échelle 
de l'entreprise pour concevoir, gérer, distribuer 
et collecter les questionnaires et fournira une 
console centralisée pour suivre la campagne et 
analyser et visualiser les données. 


Les superviseurs pourront passer les 
questionnaires en revue pour s'assurer de leur 
bonne conception en termes de format et de 
contenu, avant leur distribution ou même pendant 
la campagne. 


Par ailleurs, les responsables auront une visibilité 
claire, de bout en bout et à tout moment de tout 
l'univers des tierces parties avec lesquelles leur 
entreprise travaille. 


ΜΑΝύυΕΙ 
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Cas d'utilisation du service SAQ 


Scénario #2 


DÉPENDANCE ENVERS DES 
PROCESSUS MANUELS INEFFICACES 


Rédiger un questionnaire d'évaluation des 

risques avec un traitement de texte, l'envoyer par 
messagerie électronique à des milliers de personnes 
et suivre les réponses sur un tableur est une 
solution qui mène à la catastrophe. 


Un tel processus manuel est à la fois fastidieux, 
long, coûteux, source d'erreurs et peu évolutif. 


En optant pour l'automatisation de l'évaluation 
des risques dans le Cloud, vous centralisez et 
rationalisez l'ensemble de ce processus, y compris 
la conception, la distribution et le traitement de 
l'enquête. 


Conception 


AU lieu de réinventer manuellement la roue 

pour chaque enquête, concevez des modèles de 
questionnaire réutilisables à l'aide d'une interface 
intuitive et a base de glisser-déplacer et avec des 
assistants. 


Pour évaluer la conformité aux réglementations 
Cas d'utilisation du service SAQ 


courantes comme HIPAA, consulter une 
bibliothèque centrale de modèles pré-établis évite 
de créer des questionnaires ex-nihilo. 


En outre, vous bénéficiez d'options de conception 
souples et évoluées qui permettent notamment 
aux personnes interrogées de déléguer des 
réponses à des tiers et aussi de demander de 
joindre des preuves complémentaires pour 
certaines réponses. 


Distribution 


Plutôt que de joindre des fichiers de questionnaire 
à des messages électroniques, il vous suffit 
d'envoyer des liens vers des formulaires d'enquête 
au format Web hébergés de manière centralisée. 


Traitement 


Dans la mesure où les tierces parties interrogées 
répondent en ligne, l'entreprise peut suivre en 
temps réel la progression des campagnes. 


SCénartO"#3 

DES ÉVALUATIONS 
INTERNES A GRANDE 
ÉCHELLE IMPOSSIBLES 


Cas d'utilisation du service SAQ 


Scénario #3 


DES ÉVALUATIONS INTERNES A 
GRANDE ECHELLE IMPOSSIBLES 


Cas d'utilisation du service SAQ 


Les tierces parties ne sont pas votre seul sujet de 
préoccupation En effet, vous devez aussi réaliser 


des audits et des évaluations des risques internes. 


Mais les mener au sein d'entreprises de grande 
taille et géographiquement dispersées n'est pas 
chose aisée. 


Les équipes de gestion des risques internes sont 
chargées de cette mission. Elles doivent veiller à 
ce que les politiques de sécurité et les objectifs 
en termes de gestion des risques de leur 
entreprise soient respectés. 


Pour ce faire, il faut qu'elles interrogent 
régulièrement et méthodiquement chacun des 
services et entités pour vérifier leur conformité à 
l'ensemble des contrôles des processus métier. 


Malheureusement, ces équipes ayant 
toujours été mal servies par les éditeurs de 
logiciels, elles ont dû adopter des applications 
propriétaires et sur site où bien des 

logiciels sur mesure développés en interne. 


Mais si ces produits peuvent convenir à 

des évaluations de faible envergure, leurs 
fonctionnalités s'avèrent insuffisantes pour gérer 
des audits de grande taille, complexes et dont 
l'exactitude est critique pour éviter des amendes 
et gérer le risque interne. 


Ces applications désuêtes doivent être 
remplacées par des outils dans le Cloud et 
modernes, en particulier dans les entreprises 
qui se sont sensiblement développées soit de 
manière organique soit via des fusions et des 
acquisitions. 


Avec une solution Cloud, les équipes chargées 

de l'évaluation des risques internes gèrent et 
automatisent leurs tâches de manière centralisée, 
collectent et analysent rapidement les données 
du questionnaire et génèrent la preuve de 
conformité. 
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Scénario #4 


UNE FORMATION DES EMPLOYÉS MAL 
COORDONNEE 


Cas d'utilisation du service SAQ 


Les entreprises doivent s'assurer que leur personnel 
est bien informé de leurs politiques et procédures, 
une tâche plutôt complexe en raison du taux de 
rotation du personnel. 


Ce défi est particulièrement aigu dans les entreprises 
où ce taux est élevé en raison de la nature même 

de l'activité, par exemple le caractère saisonnier du 
commerce de détail. 


Les entreprises ont donc besoin de souplesse pour 
effectuer fréquemment ces évaluations des employés 
au moyen de questionnaires à la fois courts et 
simples. 


Elles doivent aussi s'appuyer sur un système automatisé 
qui garantit l'administration de ces questionnaires par les 
bons individus et au bon moment. 


Les pratiques de sécurité ΙΤ, notamment les 
meilleures pratiques pour gérer la messagerie et avoir 
la bonne étiquette sur les médias sociaux, comptent 
parmi les critères importants pour l'évaluation. 


La messagerie électronique est un vecteur prisé des 


cybercriminels qui attaquent les entreprises via des 
messages chargés de malware, des tentatives de 
phishing et des opérations de whaling. Les erreurs 
de communication commises par des employés sur 
les médias sociaux peuvent valoir un procés ou une 
mauvaise presse a l'entreprise. 


Une application dédiée a l'évaluation des risques 
dans le Cloud automatise et accélère le processus 
d'évaluation de l'efficacité des programmes de 
formation et de sensibilisation des employés. 


Cette application simplifie la distribution des 
questionnaires et la gestion des campagnes à 
mesure que de nouvelles personnes rejoignent 
l'entreprise et dans le cadre de sessions de 
formation destinées à des groupes où à l'ensemble 
du personnel. 


Une fois ces processus migrés vers le Cloud, 
l'application vous aide à certifier et à mentionner 
que tous vos collaborateurs ont bien été 
sensibilisés et formés aux politiques de sécurité, 
aux menaces, aux exigences de conformité et aux 


risques métier. a 


Scénario F1 


as d'utilisation du service SAQ 


Scénario 45 


INCAPACITÉ A SUIVRE UNE RÉGLEMENTATION QUI 
ÉVOLUE EN PERMANENCE 


Si vous vous efforcez de suivre une 
réglementation en perpétuelle évolution et a 
laquelle votre entreprise doit se conformer, vous 
n'étes pas seuls dans ce Cas. 


est difficile pour les grandes entreprises de 
pouvoir toujours suivre la réglementation qui 
sapplique a leur activité. 


Ceci vaut tout particulierement pour les 
entreprises évoluant sur des marchés 
particulièrement surveillés par les autorités, 
notamment les secteurs de la banque et de la 
santé. 


Jamais simples, les réglementations sont même 
de plus en plus complexes et de nouvelles voient 
le jour chaque année. 


Cas d'utilisation du service SAQ 


Comme maîtriser les méandres de la 
réglementation est déjà une tâche ardue, concevoir 
des questionnaires d'évaluation des risques pour 
vos employés et vos fournisseurs est donc encore 
plus compliqué. 


La solution dans le Cloud qui automatise 
l'évaluation des risques est administrée de manière 
centralisée et actualisée en permanence par 

son développeur, y compris sa bibliothèque de 
modèles. 


Finies les mises à jour manuelles de ces 
questionnaires prédéfinis grâce à des experts en 
réglementation qui font le travail à votre place de 
manière transparente et en arrière-plan. 
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Scénario #6 


MÉTHODE DÉFICIENTE 
POUR SUIVRE LE PAYSAGE 
DE VOS FOURNISSEURS EN 
ÉVOLUTION RAPIDE 


Cas d'utilisation du service SAQ 


Scénario #6 


MÉTHODE DÉFICIENTE POUR SUIVRE 
LE PAYSAGE DE VOS FOURNISSEURS EN 


ÉVOLUTION RAPIDE 


Cas d'utilisation du service SAQ 


Vous devez évaluer de manière souple mais exhaustive vos fournisseurs à différentes étapes de votre 
collaboration, ce qui devient un défi logistique si vous essayez de gérer ce processus manuellement : 


ο Fournisseurs actuels: vous devez les évaluer ο Première évaluation d'un fournisseur 
périodiquement pour vous assurer qu'ils majeur : Vous venez de signer avec une 
restent en conformité avec vos processus et entreprise qui travaillera avec vous de manière 
règles internes ainsi qu'avec les réglementations significative, régulière et sur le long terme 
externes. 

e Dérapages d'un fournisseur : vous devez faire 

ο Fournisseurs démarchant votre entreprise: une évaluation « post mortem » de l'incident 
vous évaluez de nombreux fournisseurs dans pour renseigner ce qui s'est passé, pourquoi 
le but d'en sélectionner un pour un projet dans et aussi comment empêcher que cela se 
lequel vous êtes sur le point de vous investir. reproduise. 


Avec un outil logiciel évolutif et dans le Cloud, vous concevez et déployez 

sans délai et facilement des campagnes de questionnaires d'évaluation de la 
sécurité pour tous les types de relations-fournisseurs. Vous bénéficiez ainsi de la 
souplesse et de l'agilité dont vous avez besoin. 
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QUESTIONNAIRE QUALYS 
SUR L'EVALUATION DE LA 
SECURITE (SAQ) 


Cas d'utilisation du service SAQ 


QUALYS SAQ 


Le nouveau service Qualys de questionnaire sur l'évaluation de la sécurité (SAQ) automatise et rationalise 
l'ensemble du cycle de vie, depuis la conception de l'enquête jusqu'à la génération de rapports en passant 
par la Supervision des réponses et l'agrégation des données. 


Le service SAQ dans le Cloud épargne les tâches manuelles fastidieuses aux administrateurs chargés 
d'évaluer les risques, garantit une précision sans égale et accélère les campagnes. 


Grâce au service SAQ, l'entreprise identifie rapidement et avec précision les lacunes en matière de sécurité et 
de conformité parmi ses fournisseurs, ainsi qu'en interne au sein de son personnel. 


Cas d'utilisation du service SAQ 
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QUALYS SAQ 


SAQ effectue un contróle serré des évaluations des risques tiers afin que les entreprises puissent se 
protéger contre des partenaires aux pratiques de sécurité négligentes. 


Le service SAQ simplifie la conception, la distribution, le suivi et la gestion de nombreuses enquétes 
sur l'évaluation des risques internes et externes, le tout depuis une console Web centralisée. 


Finies les enquêtes par messagerie électronique et l'agrégation manuelle des résultats dans un 
tableur. SAQ automatise la création des campagnes, la distribution des questionnaires et l'analyse des 
résultats. 
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QUALYS SAQ 


SAQ est une solution autonome, conviviale et prête à l'emploi qui n'exige aucun autre outil. Ce service 
vous permet d'obtenir des réponses rapides de vos partenaires pour gérer les risques liés à leur acces 
à vos systèmes IT et protéger ainsi votre activité. 


Utilisable de manière autonome, l'application SAQ fait également partie de la suite de sécurité et de 
conformité Qualys Cloud Platform qui protège l'ensemble de vos actifs informatiques, où qu'ils se 
trouvent à travers le monde. 


SAQ complète plus précisément les autres applications de conformité dans le Cloud de Qualys, à 
savoir Policy Compliance (PC) et PCI Compliance (PCI). Tandis que le service SAQ est dédié à l'évaluation 
des contrôles des processus métier, les applications PC et PCI automatisent quant a elles l'audit des 
configurations de sécurité techniques des actifs ΙΤ. | 
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Découvrez comment SAQ optimise et 
rationalise vos campagnes d'évaluation de la = 
sécu rité. ù | aujourd'hui 


Profitez de votre évaluation gratuite des 
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A propos de Qualys 

Qualys, Inc. (NASDAQ : QLYS) est le principal fournisseur de solutions de sécurité et de conformité dans le Cloud avec plus de 8800 clients dans plus de 100 pays, dont une majorité des sociétés présentes 
aux classements Fortune 100 et Forbes Global 100. Qualys Cloud Platform et sa suite intégrée de solutions aident les entreprises à simplifier leurs opérations de sécurité et à réduire le coût de la conformité. 
Cette plate-forme délivre un service à la demande de renseignement critique sur la sécurité et automatise le spectre complet de l'audit, de la conformité et de la protection des systèmes d'information et des 
applications Web. Pour plus d'informations, rendez-vous sur www.qualys.com Qualys et le logo Qualys sont des marques déposées de Qualys, Inc. Tous les autres produits ou marques cités sont la propriété 
de leurs détenteurs respectifs. 


Qualys, Inc. - Siège social Qualys est une société d'envergure mondiale avec des représentations dans le monde entier. Pour connaître le 
UA LY ς᾽ 1600 Bridge Parkway bureau le plus proche de chez vous, rendez-vous sur 
Redwood Shores, CA 94065 USA http://www.qualys.com 


CONTINUOUS SECURITY 


Tél.: 1 (800) 745 4355, info@qualys.com 


O Qualys et le logo Qualys sont des marques déposées de Qualys, Inc. Toutes les autres marques citées sont la propriété de leurs détenteurs respectifs. 


